Der Feind im Innern

Risiko Firmware: Vom gehackten Auto bis zum bösartigen USB-Stick

Wissen | Hintergrund

Eine Sonde verglüht in der Marsatmosphäre, weil sie Einheiten verwechselt. Kirchenglocken kann jedermann per Mausklick läuten. Einbrecher kapern Autos, sie knacken Safes mit USB-Sticks; der DSL-Router mutiert zur Angriffswaffe und der Fernseher spioniert bereits ab Werk. Dystopie? Keineswegs! Von der Webcam bis zur Infusionspumpe: Ohne Firmware geht nichts mehr. Mit zunehmender Vernetzung steigen Risiko und Verantwortung. Eine Bestandsaufnahme.

Als in Beckum im 13. Jahrhundert der Turm der Kirche St. Stephanus in den Himmel wuchs, hätte sich wohl niemand träumen lassen, dass 800 Jahre später jeder Scherzbold die Kirchenglocken per Internet läuten kann. Einst genügte ein simples Sicherheitskonzept: Läuten durfte derjenige, der den Schlüssel zum Turm hatte. Das reichte auch noch, als ein Elektromotor dem Glöckner das Ziehen der Seile abnahm. Selbst die Zeitschaltuhr, die das Glockenläuten schließlich zur vollautomatischen Appliance machte, war hinter Kirchenmauern noch sicher geschützt.

Das Unheil braute sich erst zusammen, als die Kirche ans virtuelle Neuland angeschlossen wurde – ganz ohne böse Absicht. Die Idee war schlichtweg, die Kirchen-Technik aus der Ferne zu bedienen: Wenn die Glocken zum Gottesdienst rufen, ist das Kirchenschiff bereits festlich illuminiert und angenehm warm. Erkrankt der Pfarrer, bleibt die Kirche dunkel und kalt. Dafür muss er nicht den Küster losschicken, sondern einfach nur übers Internet auf die Web-Oberfläche der Kirchensteuerung zugreifen. Letztere kümmert sich um Heizung, Beleuchtung und eben auch Turmuhr und Kirchenglocken.

Video: Nachgehakt

Eigentlich tut die moderne Industrie-Steuerung nicht viel mehr, als ein paar Schalter zu betätigen. Ein simpler Passwortschutz für die RS-232- und USB-Ports hält bastelaffine Probstei-Mitarbeiter davon ab, selbst Wartungstechniker zu spielen. Beim Schutz des eingebauten Webservers im Steuergerät PCD3.M5340 hat die Honeywell-Tochter Saia-Burgess allerdings einen kapitalen Bock geschossen: Der Webserver kümmert sich nicht selbst um die Passwortkontrolle, sondern liefert dem Browser ein Java-Applet und die unverschlüsselte Liste aller Passwörter. Anhand dieser prüft dann der Browser auf dem Rechner des Benutzers das eingegebene Passwort. Anders ausgedrückt: Ein Angreifer muss nur die Kirche ansurfen sowie den Netzwerkverkehr zwischen Java-Applet und Embedded-Webserver mitschneiden. Schon bekommt er alles frei Haus, um die Kontrolle zu übernehmen.

c’t hatte vor mehr als zwei Jahren aber nicht nur bei dieser Kirche, sondern bei zahllosen Industrieanlagen und Blockheizkraftwerken mit Steuerungen von Saia-Burgess das gleiche Problem aufgedeckt. Aber es kommt noch schlimmer: Die Firma Vaillant verpflichtete ihre Kunden unter Androhung einer Vertragsstrafe dazu, ihre – wie sich später herausstellte – unsicheren Heizungen direkt mit dem DSL-Router zu verbinden und in dessen Firewall Löcher alias Port-Forwarding zu bohren.

Mangelware Sicherheitsupdates

Die Probsteikirche hängt längst nicht mehr am Netz und Saia-Burgess hat nach mehreren Monaten und Intervention des BSI irgendwann auch die Firmware geflickt. Eingespielt haben dieses Update aber längst nicht alle Saia-Burgess-Kunden, wie ein kurzer Test bewies. Mehr dazu auf Seite 86.

Das offenbart ein grundlegendes Problem von Firmware: Einmal entwickelt und installiert, verliert man sie aus den Augen – mitunter für Jahrzehnte. Anders als bei PC-Software existiert keine Kultur für Sicherheitsupdates, weder bei den Herstellern noch den Kunden. Folglich können Angreifer oft über Monate oder Jahre bekannte Lücken auszunutzen. Eben deshalb trifft auch den Installateur der Kirchensteuerung eine Mitschuld. Mit etwas IT-Kompetenz und Weitsicht hätte er einen VPN-Router vorgeschaltet. Der hätte zumindest verhindert, dass die Kirchensteuerung in besagter Suchmaschine auftaucht.

Nur Geräte, die konsequent mit Updates versorgt und von Herstellern mit ausreichend Sicherheits-Know-how gepflegt werden, gehören ins Internet. Alles andere ist grob fahrlässig.

Eingeschleppt

Auch ein weiteres grundlegendes Problem wird die Branche noch lange verfolgen: Telefonanlagen, Heizungen und Industrieanlagen haben eine sehr hohe Lebenserwartung und daher oft veraltete Wartungsschnittstellen – etwa RS-232. Per Adapter oder Zusatzmodul kann jedermann sie kinderleicht ins LAN oder WLAN bringen und belebt längst ausgerottete Sicherheitslücken wieder. Denn damit bekommen Schnittstellen und Software Kontakt zum Internet, die nie dafür ausgelegt waren, sich in einer feindlichen Umgebung zu behaupten. Und selbst wenn sie das ursprünglich mal waren, treffen sie auf Bedrohungsszenarien, die ihre Entwickler nicht vorhersehen konnten.

Die Gefahr lauert längst nicht mehr nur jenseits des DSL-Routers, sondern auch im lokalen Netz – VPN hin oder her. Dazu müssen noch nicht einmal Mitarbeiter oder Familienmitglieder auf Phishing-Mails klicken oder dubiose Webseiten ansurfen. Auch kompromittierte Geräte oder solche mit vorsätzlich eingebauten Hintertüren können Angreifern als Sprungbrett dienen.

Nicht einmal komplett abgeschottete militärische Anlagen sind immun gegen Angriffe von außen. Das belegte Stuxnet eindrucksvoll: Für die iranischen Uranzentrifugen begann das Unheil mit einem präparierten USB-Sticks, der einem Mitarbeiter untergeschoben wurde. So gelangte ein Virus ins Netz und nahm dann Sicherheitslücken in den Steuerungssystemen von Siemens (Simatic S7) ins Visier. Die wiederum jagte die Ultrazentrifugen in den roten Drehzahlbereich.

Nicht ganz so dramatisch, aber nicht weniger vorsätzlich: 2013 musste LG auf Anfrage von c’t einräumen, dass einige ihrer Smart-TVs sowohl Informationen über Dateien auf angeschlossenen USB-Speichern abgreifen als auch gegen den Willen der Nutzer deren Sehverhalten erfassen und weitersenden. Auf dem Smartphone Star N9500 haben Sicherheitsforscher von G Data einen bereits ab Werk vorinstallierten Trojaner gefunden. Der Kopierschutz einiger CDs von Sony BMG enthielt Rootkit-Funktionen und installierte Filter-Treiber für CD-ROM-Laufwerke. Wer Sprachassistenten wie Siri, Cortana, Alexa oder Google Now benutzt, holt sich Dauerlauscher ebenso ins Heimnetz wie Besitzer der Xbox One, der WLAN-Barbie oder des Smartphone Moto X. Weil die Hersteller den Funktionsumfang ihrer Firmware nicht dokumentieren und durch Updates ständig verändern, liefert man sich ihnen aus – spätestens beim Abnicken der sogenannten Datenschutzerklärung.

Nun muss man deren Herstellern nicht gleich Angriffe auf andere Geräte unterstellen, aber mit Respekt vor Privatsphäre hat solches Gebaren wenig zu tun. Wer diese zumindest halbwegs aufrecht erhalten will, sollte nur Geräte ins Netz bringen, deren Dienste er auch unbedingt braucht. Mitunter kann auch ein restriktiv konfigurierter Router die ein oder andere Plaudertasche am nach Hause telefonieren hindern. Mehr dazu auf Seite 88.

Feindliche Übernahme

Auch das hilft nicht, wenn Angreifer gleich das Herzstück der Netz-Infrastruktur ins Visier nehmen. Wer den Router kontrolliert, kontrolliert das Zugangsportal zum Netz und kann von dort aus Anfragen an Webseiten ebenso manipulieren wie die einzelnen Geräte im LAN.

Während fast täglich Berichte über neue Sicherheitslücken von Router-Firmware auftauchen, lassen Problemlösungen oft Monate auf sich warten. Kurz vor Redaktionsschluss führte Belkin eindrucksvoll vor, wie man Router-Firmware nicht programmiert: Beim Heimrouter N600 DB können Ganoven von außen die DNS-Einstellungen manipulieren und nichtsahnende Nutzer so auf Phishing-Webseiten umleiten. Eine andere Lücke erlaubt es, dem Router ein gefälschtes Firmware-Update unterzuschieben. Außerdem hat das Web-Administrations-Interface ab Werk kein Passwort gesetzt. Passt der Admin auf und setzt eines, nützt das auch nicht viel, da dieses auf dem Client verifiziert wird. Alternativ kann ein Angreifer auch die Session eines aktiven Nutzers kapern. ...

Sie möchten wissen, wie es weitergeht?

Der Feind im Innern

2,49 €*

c't 21/2015, Seite 80 (ca. 5 redaktionelle Seiten)
Direkt nach dem Kauf steht Ihnen der Artikel als PDF zum Download zur Verfügung.

Artikel-Vorschau
  1. Mangelware Sicherheitsupdates
  2. Eingeschleppt
  3. Feindliche Übernahme
  4. Angriff vom Krankenbett
  5. Ausgeräumt durch die Seitentür
  6. Auto fremdgesteuert
  7. Unsicher per Design
  8. Beweis und Missverständnis
  9. Firmware als Täter
  10. Neuland
  11. Dringender Handlungsbedarf
  12. Risiko Firmware

Lesen Sie hier die Verbraucherinformationen

* Alle Preise verstehen sich inklusive der gesetzlichen MwSt.

Als c't-Plus-Abonnent gratis lesen

weiterführende Links

Weitere Bilder

  • Angriff auf BMW ConnectedDrive

Weitere Videos

Spaß mit dem Hoteltresor – Der Feind im Innern

Infos zum Artikel

Artikelstrecke
Kapitel
  1. Mangelware Sicherheitsupdates
  2. Eingeschleppt
  3. Feindliche Übernahme
  4. Angriff vom Krankenbett
  5. Ausgeräumt durch die Seitentür
  6. Auto fremdgesteuert
  7. Unsicher per Design
  8. Beweis und Missverständnis
  9. Firmware als Täter
  10. Neuland
  11. Dringender Handlungsbedarf
  12. Risiko Firmware
0Kommentare
Kommentieren
Kommentar verfassen
Anzeige
Bilder
Videos

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (32)

Artikel zum Thema
Anzeige